Jak sprawdzić, czy aplikacja pobrana z boku jest bezpieczna?

19

Jak możemy mieć pewność, że pakiet APK aplikacji, którą pobieramy ze strony internetowej, można bezpiecznie zainstalować na naszym telefonie z Androidem?

Czy istnieje sposób, aby wiedzieć, że pobrany plik jest bezpieczny? Czy istnieje aplikacja lub usługa, która skanuje plik APK i mówi This file is safe to install.

security side-loading HTTP
źródło
1
Jeśli jest to aplikacja płatna / reklamowa w oficjalnych sklepach, a wersja, którą ładujesz, jest wolna od reklam i bezpłatna, nie jest bezpieczna.
Dan Neely

Odpowiedzi:

15

Trudno jest ustalić, czy pakiet APK jest bezpieczny, czy nie. Najlepszym rozwiązaniem jest pobieranie z zaufanych lub renomowanych źródeł (takich jak Google Play, Amazon itp.).

Niektórzy (zaufani) programiści udostępniają również skróty MD5 (lub inny algorytm przetwarzania wiadomości) w swoich plikach APK. Po pobraniu pliku APK weryfikujesz, czy plik APK ma taki sam skrót. Jeśli tak, to można śmiało powiedzieć, że nie zostało zmienione.

Możesz także sprawdzić uprawnienia wymagane przez APK / aplikację i użyć zdrowego rozsądku (lub własnego osądu / instynktu), aby stwierdzić, czy instalacja jest bezpieczna, czy nie.

BOTTOMLINE: Zawsze instaluj z zaufanych źródeł. Unikaj pirackich plików APK; możliwe, że mają złośliwe oprogramowanie.

geffchang
źródło
Czy jest jakaś aplikacja, która może wykryć złośliwe oprogramowanie?
HTTP
@Nesmar Nie mam pojęcia, ale zawsze możesz wypróbować program antywirusowy w Google Play.
geffchang
Szczerze mówiąc, nie mam zaufania do żadnego antywirusa w Androidzie, ponieważ nie działają, jeśli ich nie dotkniesz, mam na myśli ex na pulpicie komputera, jeśli zainstalujesz program antywirusowy, po uruchomieniu, już działają w tle i monitorują twoje pliki . Nie wiem, czy możesz to zrobić również w telefonie komórkowym.
HTTP
@Nesmar Myślę, że niektóre antywirusy mogą działać jako usługa. Aplikacje takie jak Screebl i Ad Block Plus działają po uruchomieniu telefonu.
geffchang
5
+1 za sam wynik końcowy! Podczas pobierania z nieznanych źródeł nie ma łatwego sposobu na ocenę. Nawet z MD5: jeśli oba pliki (APK i MD5) znajdują się na tym samym serwerze, kto mówi, że nie oba zostały zastąpione?
Izzy
9

Google wprowadził opcję Weryfikuj aplikacje ( Nie zezwalaj lub ostrzegaj przed instalacją aplikacji, które mogą spowodować szkody ) dla aplikacji pobranych z boku, gdy włączone są nieznane źródła (oba ustawienia są dostępne w Ustawieniach -> Bezpieczeństwo -> administrowanie urządzeniem ).

Możesz również użyć skanera antywirusowego online, takiego jak Virus Total, aby sprawdzić pobrany plik .apk.

Ale to samo dotyczy każdej usługi skanera: nie są w 100% pewni i prawdopodobnie wykrywają tylko znane złośliwe aplikacje. Niestandardowe złośliwe oprogramowanie prawdopodobnie pozostanie niewykryte. Również bardzo nowe złośliwe aplikacje prawdopodobnie przejdą, dopóki nie zostaną wykryte.

ce4
źródło
1
Stwierdzono, że skanery złośliwego oprogramowania są łatwe do obejścia (wystarczy zrobić małą wyszukiwarkę Google ), więc nie ufałbym im dalej, jak sam to widzę. Obejmuje to aplikacje Google Verify .
Izzy
Pewnie. Jednak stare złośliwe oprogramowanie jest regularnie wykrywane. Żaden skaner złośliwego oprogramowania nie zapewnia 100% bezpieczeństwa, możesz nawet pobierać złośliwe aplikacje z oficjalnego sklepu Play (i Apple's Store nie jest wyjątkiem). Te skanery poprawiają twoje bezpieczeństwo, jeśli jednak potrzebujesz załadować z boku. To jak nowy skaner odcisków palców firmy Apple: już ominięty, ale o wiele lepszy niż brak blokady pinowej (około 40% właścicieli nie ma blokady pinowej ze względów wygody).
ce4
Zgadzam się. Moja wina, że ​​nie wyrażam jasno: nigdy nie polegaj na nich w sposób „Nic się nie dzieje, mam program antywirusowy”. Jeśli zobaczysz je jako fragment układanki (zamiast całego obrazu), mogą być pomocne.
Izzy
7

Jeśli pobierasz .apkpliki z nieznanych / niezaufanych źródeł, nie ma łatwego sposobu na ocenę. Większość rozwiązań antywirusowych (antywirusowych, anty-malware itp.) Rządzi się po prostu „pozycjami bazy danych” (tj. Mają one bazę znanych złośliwych programów i sprawdzają, czy nazwa pakietu pasuje), lub sprawdzają tylko wymagane uprawnienia ( a nie czy np. aplikacja SMS wysyła tylko SMS-y, które chcesz). Nigdy nie słyszałem o „prawdziwym” skanerze heurystycznym analizującym zachowanie aplikacji.

Chociaż teoretycznie może być to możliwe, „skaner” weryfikuje także rodzaj sumy kontrolnej (jak wspomniany MD5), może to jednak działać tylko na „zaufanej bazie”, takiej jak np. Playstore. W przypadku aplikacji tam niedostępnych nie powiedzie się (nic do porównania). Nawet w przypadku dostępnych tam aplikacji należy sprawdzić tę samą wersję. Takie rozwiązanie jest mało praktyczne.

Więc chociaż moje argumenty mogą się różnić, mój wynik jest prawie taki sam jak geff: Instaluj tylko z zaufanych źródeł. Chociaż nic nie jest w 100% bezpieczne, wiąże się to z jak najmniejszym ryzykiem. Największe ryzyko wiąże się z pirackimi rzeczami, ponieważ bardzo prawdopodobne jest, że zostaną wprowadzone „złe rzeczy”.

Izzy
źródło
Jednym ze sposobów oceny jest porównanie certyfikatu ze znanymi dobrymi wydawcami (np. Jeśli chcesz mieć najnowszą wersję aplikacji Ingress Google, przejdź dalej i po prostu porównaj, czy jest podpisany tym samym certyfikatem, co już zainstalowany). Możesz zaktualizować już zainstalowane aplikacje (ze Sklepu Play) z bocznym ładowaniem, jeśli certyfikat jest taki sam. To będzie bezpieczna opcja (jeśli ma zastosowanie).
ce4
Czy automatycznie porównuje certyfikat, jeśli aktualizujesz aplikację poprzez ładowanie boczne, czy też musisz zrobić coś, aby sprawdzić, czy certyfikat jest taki sam? Jeśli tak, to jak byś to zweryfikował?
LeBleu
1
@LeBleu, jeśli aplikacja została już zainstalowana na twoim urządzeniu, tak. Następnie nowy .apkmusi zostać podpisany przy użyciu tego samego „klucza”, który został użyty, inaczej aktualizacja się nie powiedzie.
Izzy
5

Możesz przesłać pakiet do mobilnego piaskownicy, aby zobaczyć, co robi. Piaskownice wykonają plik binarny i można zobaczyć ponowne wykonanie. Działa to również w przypadku nieznanego wcześniej złośliwego oprogramowania, ponieważ nie musi wcześniej znajdować się w bazie danych av. Przykładami piaskownic są MobileSandbox , CopperDroid , SandDroid , TraceDroid , Joe Sabdox Mobile , ForSafe i inne.

Jak zawsze nie ma 100% bezpieczeństwa, ale z drugiej strony, nie ma pełnego bezpieczeństwa podczas pobierania ze sklepu Play, albo ...

Virustotal, o którym wspomniano powyżej, zaczął również uruchamiać niektóre próbki w piaskownicy i jest oczywiście zawsze dobrym wyborem, ponieważ testuje na skalę już znanego złośliwego oprogramowania. Podobną usługą jak Virustotal, ale specjalnie dla Androida jest AndroTotal.

domenukk
źródło
0

Używam Lookout Security, skanuje każdą zainstalowaną aplikację, a także możesz skanować pliki APK

ThaSaleni
źródło
1
Skanuje je w poszukiwaniu czego? Czy faktycznie wykonuje analizę heurystyczną lub inną wiarygodną analizę, czy po prostu sprawdza bazę danych dla nazwy APK lub MD5?
onik
0

Teraz dni nie jest tak trudno znaleźć bezpieczne pliki APK. Ale musisz być ostrożny przy wyborze witryn źródłowych. Osobiście polecam ApkLink.com . Po drugie, po pobraniu dowolnego pliku APK z dowolnego miejsca zasugeruję Ci skanowanie przez VirusTotal (aby upewnić się, że pobrana aplikacja jest bezpieczna).

Yahya
źródło
0

Uprawnienia aplikacji zapewniają pewien poziom bezpieczeństwa. Zawsze można sprawdzić uprawnienia podczas instalacji apk.

Gdy aplikacja nie wymaga uprawnień roota ani żadnego innego uprawnienia, można je w większości uznać za bezpieczne. Aplikacja ma niewiele uprawnień bez uprawnień. Ale może oszukać użytkownika, aby wyświetlić złośliwy link i przekierować go na jakąś złośliwą stronę w celu zainstalowania czegoś innego lub stron phishingowych. Jeśli taka aplikacja nawet nie korzysta z Internetu, można ją uznać za bezpieczną.

Wraz ze wzrostem poziomu uprawnień można bardziej podejrzewać, że aplikacja jest niebezpieczna. Może kraść dane osobowe, takie jak kontakty, wiadomości, dzienniki połączeń lub dowolny plik w pamięci itp. Oczywiście jest to tylko możliwe, nie każda aplikacja jest złośliwa.

Bharat G.
źródło